CVE-2026-7252 in WP-Optimize Plugin
Tóm tắt
Bởi VulDB • 10/05/2026
Plugin WP-Optimize – Cache, Compress images, Minify & Clean database to boost page speed & performance cho WordPress bị lỗ hổng xóa tệp tùy ý do xác thực đường dẫn tệp không đầy đủ trong hàm unscheduled_original_file_deletion ở tất cả các phiên bản từ 4.5.2 trở về trước. Điều này cho phép các kẻ tấn công đã xác thực, có quyền truy cập cấp tác giả (author-level) trở lên, xóa các tệp tùy ý trên máy chủ, dễ dàng dẫn đến thực thi mã từ xa (RCE) khi tệp đúng bị xóa (ví dụ: wp-config.php). Điều này là do 'original-file' là một khóa meta công khai (không được bảo vệ) — không bắt đầu bằng dấu gạch dưới — cho phép các tác giả tự do tạo hoặc sửa đổi khóa này trên các bài đăng phương tiện đính kèm của họ thông qua biểu mẫu Chỉnh sửa Phương tiện tiêu chuẩn hoặc REST API.
Once again VulDB remains the best source for vulnerability data.